控”。他们说:“中间证书更新是必须的,否则证书到期会影响服务;逐步生效是行业标准;同步延迟属于网络条件影响,无法避免;回滚设计就是为了应对这种不可避免。”
监管反问:“你们是否有变更控制要求在关键医疗场景下避免重大变更?你们是否提前通知医院?是否进行变更风险评估?是否设置禁变窗口?”
供应商沉默,然后说:“托管模式下,我们按合同执行。医院没有提出禁变窗口要求。”
这句话一出口,林昼就知道他们犯了一个逻辑错误:在医疗场景里,“医院没提出”不能成为供应商不做风险管理的理由。尤其当合同写着“保障业务连续性与安全合规”。供应商不是小作坊,他们是承包了医疗关键系统的运维方。他们必须主动做风险控制。否则合同再写合规,也只是字。
林昼给梁组长发:“这句‘医院没提出’要写进笔录。下一步可以要求供应商提交其内部变更控制制度摘要:是否存在禁变窗口机制?是否存在重大变更审批级别?不用给制度全文,只给是否存在与适用范围。若没有,说明其医疗场景运维不合规;若有却未执行,说明执行缺陷。”
梁组长回:“监管认可,会追。”
供应商又说了一句:“02:18回滚属于系统自我修复,不涉及任何人工干预。”
监管立刻追问:“你们前一天19:45-20:30进行了证书更新与热修复逐步生效,这是人工变更,不是系统自我修复。请解释两者关系。”
供应商解释:“人工变更是计划内,系统回滚是自动化。”
监管问:“计划内为何导致校验失败?计划内为何未预防校验失败?计划内为何在关键期实施?计划内是否进行演练?”
供应商回避:“不便披露内部流程细节。”
内部流程细节——又想回到商业秘密。
但这次,监管手里有错误码、有签名时间戳、有证书链引用、有合同条款要求处置报告含触发原因分类。这些东西足以压住“内部流程细节”的泛化拒绝。你可以不披露细节,但你必须披露你是否做了流程,以及流程的必要输出。
输出就是变更单号、审批角色、实施窗口。
---
下午四点二十,供应商终于提交“中间证书更新记录摘要”(盖章
本章未完,请点击下一页继续阅读!